Sekurecaj esploristoj de 'Pozitivaj Teknologioj' pruvis, kiom urĝe necesas ripari gapan difekton en la tutmonda telekomunika reto. En video-pruvo, ili montris, kiel ciberkrimuloj povas ekspluati la SS7-difekto por aliri tekstajn mesaĝojn enhavantajn aŭtentikigajn kodojn kaj ŝteli ĉiujn viajn financojn de la Bitcoin-monujoj.
La esploroj de Pozitivaj Teknologioj malkaŝis, ke ili nur bezonas la antaŭnomoj kaj familinomoj kaj la telefonnumero de la bitcoin-posedanto por kompromiti sian konton. Dum montrante la atakon, la Pozitivaj esploristoj unue iris al gmail trovi retpoŝtan konton kun nur telefona numero. Akirinte Gmail-adreson kaj telefonnumeron de la celo, ili iniciatis peton pri restarigo de pasvorto por la konto, kiu implikis sendi unufojan rajtigan kodon sendotan al la telefona numero de la celo.
La Pozitivaj esploristoj tiam povis kaptu la SMS-mesaĝojn enhavanta la 2FA-kodon ekspluatante konatajn projektajn difektojn en SS7 kaj akiri aliron al la Gmail-konto. De tie, la esploristoj iris rekte al la konto Coinbase, kiu estis registrita kun la kompromitita Gmail-konto kaj komencita alia pasvorta restarigo, ĉi-foje, por la monujo Coinbase de viktimo. Ili tiam ensalutis la monujon kaj malplenigis ĝin de kripta mono.
Pozitivaj Teknologioj ankaŭ dividis pruvan konceptan filmeton, montrante kiom facile estas haki en monujo bitcoin nur interkaptante tekstajn mesaĝojn dum trafiko.
Rigardu Kiel Retpiratoj Enhavis Bitcoin-Monpaperujon kaj Ŝtelon
https://www.youtube.com/watch?time_continue=7&v=mLh1Nmqa6OM
Ne nur kriptovalutaj monujoj, ĉi tiu difekto riskas viajn bankajn kaj sociajn retojn. "Ĉi tiu hako funkcius por iu ajn rimedo - reala valuto aŭ virtuala valuto - kiu uzas SMS por pasvorta reakiro," diris Pozitiva esploristo Dmitrij Kurbatov.
Ĉi tiu numero aspektas kiel vundebleco en Coinbase, sed ĝi ne estas. La vera malforto loĝas en la ĉela sistemo mem.
"Ĉi tio estas vundebleco en poŝtelefonaj retoj, kio finfine signifas, ke ĝi estas problemo por ĉiuj, precipe servoj, kiuj dependas de la poŝtelefona reto por sendi sekurecajn kodojn," Dmitrij Kurbatov diras.
Kreita en la 1980-aj jaroj, Sistemo de signalado 7 (SS7) estas telefona signala protokolo, kiu funkciigas pli ol 800 telekomunikistajn telefonistojn tra la mondo, por interkonekti kaj interŝanĝi datumojn, kiel vojigi vokojn kaj tekstojn unu kun la alia, ebligante vagadon kaj aliajn servojn.
Esploristoj avertas de jaroj pri kritikaj problemoj kun la SS7, kiuj povus permesi al retpiratoj aŭskulti privatajn telefonvokojn kaj legi tekstajn mesaĝojn eble vaste, malgraŭ la plej altnivela ĉifrado uzata de ĉelaj retoj. En 2014, estis raportite ke la SS7-vundebleco povus esti uzataj de registaraj agentejoj kaj neŝtataj aktoroj por spuri la movadojn de poŝtelefonaj uzantoj de iu ajn loko ĉirkaŭ la mondo kun 70% precizeco.
Komence de ĉi tiu jaro, ciberkrimuloj uzis ĉi tiun projektan difekton en SS7 por ataki la bankajn kontojn de viktimoj kaj fari financajn transakciojn kaptante dufaktoran aŭtentikan kodon (OTP) senditan de bankoj al siaj klientoj kaj redirektante ĝin al si mem.
Do, krom se la telekomunika industrio ne faros paŝojn por fari SS7 pli sekura, la uzantoj devas fari paŝojn memstare. Evitu uzi du-faktoran aŭtentikigon per SMS-tekstoj por ricevi OTP-kodojn. Anstataŭe fidu kriptografie bazitajn sekurecajn ŝlosilojn kiel duan aŭtentikan faktoron. Vi povas uzi ilojn kiel google Aŭtentikigilo, Google-avizo aŭ sekureca ŝlosilo por ekstra sekureco.
Elŝutu Nian Kripta Novaĵa Android-Programo Kaj Neniam Manku Iu Ĝisdatigo.
